ΑΠΟΡΡΙΨΗ ΠΡΟΣΒΑΣΗΣ - Η περιορισμένη εκχώρηση για το CIFS αποτυγχάνει

Κατά την πρόσβαση σε μια υπηρεσία που χρησιμοποιεί κοινόχρηστα στοιχεία δικτύου σε διακομιστή μεσαίου επιπέδου, ζητούνται από τους χρήστες διαπιστευτήρια και τελικά αντιμετωπίζουν ένα σφάλμα άρνησης πρόσβασης. Στη σημερινή ανάρτηση, θα παρουσιάσουμε μερικά σενάρια περιπτώσεων, θα εντοπίσουμε την αιτία και, στη συνέχεια, θα παρέχουμε τις πιθανές λύσεις στο ζήτημα του γιατί η περιορισμένη ανάθεση εκχώρησης για CIFS αποτυγχάνει με το σφάλμα ACCESS_DENIED στα Windows 10.

Το Common Internet File System (CIFS)(Common Internet File System (CIFS)) είναι ένα πρωτόκολλο κοινής χρήσης αρχείων που παρέχει έναν ανοιχτό και πολλαπλό μηχανισμό για την υποβολή αιτημάτων για αρχεία και υπηρεσίες διακομιστή δικτύου. Το CIFS(CIFS)  βασίζεται στην βελτιωμένη έκδοση του πρωτοκόλλου Server Message Block (SMB) της Microsoft για κοινή χρήση αρχείων στο Διαδίκτυο και στο intranet.(Internet)

Η περιορισμένη ανάθεση για το CIFS αποτυγχάνει στα Windows

Η περιορισμένη ανάθεση για το CIFS αποτυγχάνει στα Windows

Ενδέχεται να αντιμετωπίσετε αυτό το ζήτημα εάν ο χρήστης ζητηθεί για διαπιστευτήρια και η πρόσβαση τελικά αποτύχει με ένα σφάλμα απαγόρευσης πρόσβασης με βάση τα ακόλουθα τρία σενάρια.

Σενάριο 1(Scenario 1)

  • Ο ιστότοπος των υπηρεσιών IIS έχει ρυθμιστεί με τον αρχικό κατάλογο να δείχνει προς το απομακρυσμένο κοινόχρηστο στοιχείο χρησιμοποιώντας έλεγχο ταυτότητας μεταβίβασης και περιορισμένη ανάθεση που έχουν ρυθμιστεί για CIFS .
  • Το χώρο συγκέντρωσης εφαρμογών IIS που έχει πρόσβαση σε αυτό το κοινόχρηστο στοιχείο εκτελείται με την ταυτότητα του λογαριασμού υπηρεσίας.
  • Ο λογαριασμός τομέα είναι αξιόπιστος για ανάθεση για την υπηρεσία CIFS στον διακομιστή αρχείων.

Σενάριο 2(Scenario 2)

  • Η εφαρμογή Ιστού προσπαθεί να αποκτήσει πρόσβαση σε διακομιστή αρχείων ως χρήστης.
  • Το χώρο συγκέντρωσης εφαρμογών IIS που έχει πρόσβαση σε αυτό το κοινόχρηστο στοιχείο εκτελείται με την ταυτότητα του λογαριασμού υπηρεσίας. Ο λογαριασμός τομέα είναι αξιόπιστος για ανάθεση για την υπηρεσία CIFS στον διακομιστή αρχείων.
  • Η περιορισμένη ανάθεση που έχει ρυθμιστεί για CIFS έχει ρυθμιστεί στον λογαριασμό υπηρεσίας για τον διακομιστή αρχείων.

Σενάριο 3(Scenario 3)

  • Οποιαδήποτε εφαρμογή από την πλευρά του διακομιστή στην οποία γίνεται πρόσβαση από έναν πελάτη έχει πρόσβαση σε απομακρυσμένα κοινόχρηστα στοιχεία ως χρήστης.
  • Η εφαρμογή από την πλευρά του διακομιστή εκτελείται στο πλαίσιο ενός λογαριασμού υπηρεσίας.
  • Ο λογαριασμός Service είναι αξιόπιστος για ανάθεση και έχει ρυθμιστεί για εκχώρηση CIFS για τον διακομιστή αρχείων.

Αυτό έχει εντοπιστεί ως πρόβλημα μεταξύ του MrxSmb 2.0 και του Kerberos όταν εμπλέκεται περιορισμένη ανάθεση.

Για την επίλυση αυτού του ζητήματος, η Microsoft προσφέρει δύο λύσεις.

Λύση 1

Χρησιμοποιήστε έναν λογαριασμό μηχανήματος αντί για έναν λογαριασμό υπηρεσίας ως ταυτότητα για εφαρμογές που θα εκτελούν περιορισμένη ανάθεση για CIFS . Διαμόρφωση περιορισμένης ανάθεσης όταν το λειτουργικό επίπεδο τομέα είναι Windows Server 2003 , Windows Server 2008 ή Windows Server 2008 R2.

Για να το κάνετε αυτό στον ελεγκτή τομέα για τον τομέα των διακομιστών Ιστού σας, κάντε τα εξής:

  • Κάντε κλικ Start > Administrative Tools > Χρήστες και υπολογιστές Active Directory(Active Directory Users and Computers) .
  • Αναπτύξτε(Expand) τον τομέα και, στη συνέχεια, αναπτύξτε το φάκελο Υπολογιστές .(Computers)
  • Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στο όνομα του υπολογιστή για τον διακομιστή web, επιλέξτε Ιδιότητες(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .(Delegation)
  • Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση μόνο σε συγκεκριμένες υπηρεσίες(Trust this computer for delegation to specified services only) .
  • Βεβαιωθείτε ότι   είναι επιλεγμένο  το Use Kerberos only και, στη συνέχεια, κάντε κλικ (Use Kerberos only)στο OK(OK) .
  • Κάντε κλικ στο  κουμπί Προσθήκη(Add button) .
  • Στο   παράθυρο διαλόγου  Προσθήκη (Add) υπηρεσιών , κάντε κλικ στην επιλογή (Services)Χρήστες ή Υπολογιστές(Users or Computers) και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
  • Κάντε κλικ  στο OK(OK) .
  • Στη λίστα  Διαθέσιμες (Available) υπηρεσίες(Services)  , επιλέξτε την  υπηρεσία CIFS .
  • Κάντε κλικ  στο OK(OK) .

Λύση 2

Αυτή η λύση δεν συνιστάται(not recommended) επειδή απαιτεί  Χρήση(Use) οποιασδήποτε εκχώρησης πρωτοκόλλου ελέγχου ταυτότητας στον λογαριασμό υπολογιστή. Εάν  είναι επιλεγμένη η επιλογή Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας(Use any authentication protocol)  , ο λογαριασμός χρησιμοποιεί περιορισμένη ανάθεση με μετάβαση πρωτοκόλλου.

Εάν πρέπει να χρησιμοποιήσετε την ταυτότητα των εφαρμογών ως λογαριασμό υπηρεσίας ή/και λογαριασμό τομέα, κάντε τα εξής:

Βήμα 1(Step 1)

  • Κάντε κλικ στο Έναρξη(Start )Administrative Tools > Χρήστες και υπολογιστές Active Directory(Active Directory Users and Computers) .
  • Αναπτύξτε(Expand) τον τομέα και, στη συνέχεια, αναπτύξτε το φάκελο Υπολογιστές .(Computers)
  • Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στο όνομα του υπολογιστή για τον διακομιστή web, επιλέξτε Ιδιότητες(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .(Delegation)
  • Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση(Trust this computer for delegation to specified services) μόνο σε συγκεκριμένες υπηρεσίες.
  • Βεβαιωθείτε ότι  έχει επιλεγεί η επιλογή Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας(Use any authentication protocol) .
  • Κάντε κλικ στο OK(OK) .
  • Κάντε κλικ στο  κουμπί Προσθήκη(Add button) .
  • Στο   παράθυρο διαλόγου  Προσθήκη (Add) υπηρεσιών , κάντε κλικ στην επιλογή (Services)Χρήστες ή Υπολογιστές(Users or Computers) και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
  • Κάντε κλικ  στο OK(OK) .
  • Στη λίστα  Διαθέσιμες (Available) υπηρεσίες(Services)  , επιλέξτε την υπηρεσία CIFS(CIFS service) .
  • Κάντε κλικ  στο OK(OK) .

Βήμα 2(Step 2)

  • Στο αριστερό παράθυρο, αναπτύξτε το φάκελο Χρήστες.
  • Στο δεξιό τμήμα του παραθύρου, κάντε δεξί κλικ στον λογαριασμό υπηρεσίας που είναι η ταυτότητα του χώρου συγκέντρωσης εφαρμογών, επιλέξτε  Ιδιότητες(Properties) και, στη συνέχεια, κάντε κλικ στην   καρτέλα Ανάθεση .(Delegation)
  • Επιλέξτε το  πλαίσιο ελέγχου Εμπιστοσύνη αυτού του υπολογιστή για ανάθεση μόνο σε συγκεκριμένες υπηρεσίες(Trust this computer for delegation to specified services only) .
  • Βεβαιωθείτε ότι  είναι επιλεγμένο το Use only Kerberos .(Use Kerberos only)
  • Κάντε κλικ στο OK(OK) .
  • Κάντε κλικ στο  κουμπί Προσθήκη(Add button) .
  • Στο  παράθυρο διαλόγου  Προσθήκη (Add) υπηρεσιών , κάντε κλικ στην επιλογή (Services)Χρήστες ή Υπολογιστές(Users or Computers) και, στη συνέχεια, περιηγηθείτε ή εισαγάγετε το όνομα του διακομιστή αρχείων που θα λάβει τα διαπιστευτήρια του χρήστη από τις υπηρεσίες IIS .
  • Κάντε κλικ  στο OK(OK) .
  • Στη λίστα  Διαθέσιμες (Available) υπηρεσίες(Services)  , επιλέξτε την υπηρεσία CIFS(CIFS service) .
  • Κάντε κλικ  στο OK(OK) .

Ελπίζω αυτή η ανάρτηση να βοηθήσει.(Hope this post helps.)



About the author

Είμαι μηχανικός λογισμικού με εμπειρία στην Εξερεύνηση Xbox, Microsoft Excel και Windows 8.1 Explorer. Στον ελεύθερο χρόνο μου, μου αρέσει να παίζω βιντεοπαιχνίδια και να βλέπω τηλεόραση. Έχω πτυχίο από το Πανεπιστήμιο της Γιούτα και αυτή τη στιγμή εργάζομαι ως μηχανικός λογισμικού σε μια διεθνή εταιρεία.



Related posts